Compartilhar via

Implantar o controle de aplicativos de acesso condicional para qualquer aplicativo Web usando o provedor de identidade (IdP)

  • Artigo

Você pode configurar controles de sessão no Microsoft Defender para Aplicativos de Nuvem para funcionar com qualquer aplicativo Web e qualquer IdP que não seja da Microsoft. Este artigo descreve como rotear sessões de aplicativos do PingOne para o Defender para Aplicativos de Nuvem com o objetivo de fornecer controles de sessão em tempo real.

Para este artigo, usaremos o aplicativo Salesforce como um exemplo de um aplicativo Web que está sendo configurado para usar controles de sessão do Defender para Aplicativos de Nuvem. Para configurar outros aplicativos, execute as mesmas etapas de acordo com seus requisitos.

Pré-requisitos

  • Sua organização deve ter as seguintes licenças para usar o Controle de Aplicativos de Acesso Condicional:

    • Uma licença PingOne relevante (necessária para logon único)
    • Microsoft Defender for Cloud Apps

  • Uma configuração de logon único PingOne existente para o aplicativo usando o protocolo de autenticação SAML 2.0

Para configurar controles de sessão para o aplicativo usando PingOne como IdP

Use as etapas a seguir para rotear suas sessões de aplicativos Web do PingOne para o Defender para Aplicativos de Nuvem.

Observação

Você pode configurar as informações de logon único SAML do aplicativo fornecidas pelo PingOne usando um destes métodos:

  • Opção 1: upload do arquivo de metadados SAML do aplicativo.
  • Opção 2: fornecimento manual dos dados SAML do aplicativo.

Nas próximas etapas, usaremos a opção 2.

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações SAML do seu aplicativo

Etapa 3: Criar um aplicativo personalizado no PingOne

Etapa 4: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo PingOne

Etapa 5: Concluir o aplicativo personalizado no PingOne

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

Etapa 7: concluir as alterações no aplicativo

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

Etapa 1: obter as configurações de logon único SAML do seu aplicativo

  1. No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único.

  2. Em Configurações de logon único, selecione o nome da configuração existente do SAML 2.0.

    Selecione Configurações de SSO do Salesforce.

  3. Na página Configuração de logon único do SAML, anote a URL do logon do Salesforce. Você precisará dessas informações posteriormente.

    Observação

    Se o aplicativo fornecer um certificado SAML, faça o download do arquivo do certificado.

    Selecione URL de login do SSO do Salesforce.

Etapa 2: configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo SAML

  1. No portal do Microsoft Defender, selecione Configurações. Em seguida, escolha Aplicativos na nuvem.

  2. Em Aplicativos conectados, selecione Aplicativos de Controle de Aplicativo de Acesso Condicional.

  3. Selecione +Adicionar e, no pop-up, selecione o aplicativo que quer implantar e selecione Iniciar assistente.

  4. Na página INFORMAÇÕES DO APLICATIVO, selecione Preencher dados manualmente, na URL do serviço do consumidor de declaração, insira a URL do logon do Salesforce que anotada anteriormente e selecione Avançar.

    Observação

    Se o aplicativo fornece um certificado SAML, selecione Usar <app_name> certificado SAML e faça o upload do arquivo de certificado.

    Preencha manualmente as informações do SAML do Salesforce.

Etapa 3: Criar um aplicativo personalizado no PingOne

Antes de continuar, use as etapas a seguir para obter informações do seu aplicativo Salesforce existente.

  1. No PingOne, edite seu aplicativo Salesforce existente.

  2. Na página Mapeamento de Atributos SSO, anote o atributo e o valor SAML_SUBJECT e baixe os arquivos de Certificado de autenticação e Metadados SAML.

    Anote os atributos existentes do aplicativo Salesforce.

  3. Abra o arquivo de metadados SAML e anote a localização do Serviço de logon único do PingOne. Você precisará dessas informações posteriormente.

    Anote o local do serviço de SSO do aplicativo Salesforce existente.

  4. Na página Acesso ao Grupo, anote os grupos atribuídos.

    Anote os grupos atribuídos do aplicativo Salesforce existentes.

Em seguida, use as instruções da página Adicionar um aplicativo SAML com seu provedor de identidade para configurar um aplicativo personalizado no portal do IdP.

Adicione o aplicativo SAML a seu provedor de identidade.

Observação

A configuração de um aplicativo personalizado permite testar o aplicativo existente com controles de acesso e sessão sem alterar o comportamento existente para a organização.

  1. Crie um Novo aplicativo SAML

    No PingOne, crie um novo aplicativo Salesforce personalizado.

  2. Na página Detalhes do Aplicativo, preencha o formulário e selecione Continuar para a próxima etapa.

    Dica

    Use um nome de aplicativo que o ajudará a diferenciar entre o aplicativo personalizado e o aplicativo Salesforce existente.

    Preencha os detalhes do aplicativo personalizado.

  3. Na página Configuração do Aplicativo, siga as etapas a seguir e selecione Continuar para a Próxima Etapa.

    • No campo Serviço do consumidor de declaração (ACS), insira o URL de login do Salesforce que você anotou anteriormente.
    • No campo ID da entidade, insira uma ID exclusiva começando com https://. Verifique se isso é diferente da configuração do aplicativo Salesforce PingOne que está saindo.
    • Anote a ID da entidade. Você precisará dessas informações posteriormente.

    Configure o aplicativo personalizado com detalhes do SAML do Salesforce.

  4. Na página Mapeamento de Atributos SSO, adicione o atributo SAML_SUBJECT e o valor do aplicativo Salesforce existente que você anotou anteriormente e selecione Continuar para a próxima etapa.

    Adicione atributos ao aplicativo Salesforce personalizado.

  5. Na página Acesso ao Grupo, adicione os grupos existentes do aplicativo Salesforce que você anotou anteriormente e conclua a configuração.

    Atribua grupos ao aplicativo Salesforce personalizado.

Etapa 4: Configurar o Defender para Aplicativos de Nuvem com as informações do aplicativo PingOne

  1. De volta à página PROVEDOR DE IDENTIDADE do Defender para Aplicativos de Nuvem, selecione Avançar para continuar.

  2. Na próxima página, selecione Preencher dados manualmente, siga as etapas a seguir e clique em Avançar.

    • Em URL do Serviço do Consumidor de Declaração, insira o URL de login do Salesforce que você anotou anteriormente.
    • Selecione Carregar Certificado SAML do provedor de identidade e selecione o arquivo de certificado baixado anteriormente.

    Adicione URL de serviço SSO e certificado SAML.

  3. Na próxima página, anote as informações a seguir e selecione Avançar. Você precisará das informações posteriormente.

    • URL de logon único do Defender para Aplicativos de Nuvem
    • Atributos e valores do Defender para Aplicativos de Nuvem

    No Defender para Aplicativos de Nuvem, anote a URL e os atributos do SSO.

Etapa 5: Concluir o aplicativo personalizado no PingOne

  1. No PingOne, localize e edite o aplicativo Salesforce personalizado.

    Localize e edite o aplicativo Salesforce personalizado.

  2. No campo Serviço do consumidor de declaração (ACS), substitua a URL pela URL de logon único do Defender para Aplicativos de Nuvem que você anotou anteriormente e selecione Avançar.

    Substitua o ACS no aplicativo Salesforce personalizado.

  3. Adicione os atributos e valores do Defender para Aplicativos de Nuvem que você anotou anteriormente às propriedades do aplicativo.

    Adicione atributos do Defender para Aplicativos de Nuvem ao aplicativo Salesforce personalizado.

  4. Salve suas configurações.

Etapa 6: obter as alterações do aplicativo no Defender para Aplicativos de Nuvem

De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, faça o seguinte, mas não selecione Concluir. Você precisará das informações posteriormente.

  • Copiar a URL de logon único SAML do Defender para Aplicativos de Nuvem
  • Baixe o certificado SAML do Defender para Aplicativos de Nuvem

Anote a URL de SSO do SAML do Defender para Aplicativos de Nuvem e baixe o certificado.

Etapa 7: concluir as alterações no aplicativo

No Salesforce, navegue até Definições>Configurações>Identidade>Configurações de logon único e faça o seguinte:

  1. Recomendado: crie um backup das configurações atuais.

  2. Substitua o valor do campo de URL de logon do provedor de identidade pela URL de logon único do SAML do Defender para Aplicativos de Nuvem que você anotou anteriormente.

  3. Carregue o certificado SAML do Defender para Aplicativos de Nuvem que você baixou anteriormente.

  4. Substitua o valor do campo ID da Entidade pela ID da Entidade do aplicativo personalizado PingOne que você anotou anteriormente.

  5. Selecione Salvar.

    Observação

    O certificado SAML do Defender para Aplicativos de Nuvem é válido por um ano. Depois que ele expirar, um novo certificado precisará ser gerado.

    Atualize o aplicativo Salesforce personalizado com os detalhes de SAML do Defender para Aplicativos de Nuvem.

Etapa 8: concluir a configuração no Defender para Aplicativos de Nuvem

  • De volta à página ALTERAÇÕES DE APLICATIVOS do Defender para Aplicativos de Nuvem, selecione Concluir. Depois de concluir o assistente, todas as solicitações de logon associadas a este aplicativo serão roteadas por meio do controle de aplicativos de acesso condicional.

Conteúdo relacionado

« ANTERIOR: implantar o controle de aplicativo de acesso condicional

Introdução ao controle de aplicativos de acesso condicional

Solução de problemas de controles de acesso e sessão

Se encontrar algum problema, estamos aqui para ajudar. Para obter ajuda ou suporte para o problema do seu produto, abra um tíquete de suporte.